comparsa "Internet Connection" (dialer?)

[Deifobe]

scarica CCleaner e disconnetti il pc da internet.

Disattiva il ripristino configurazione di sistema: start -> pannello di controllo -> sistema -> ripristino configurazione di sistema -> spunta "disattiva ripristino configuraz. di sistema"

esegui avenger, copia/incolla:

files to delete:
c:\temp\abc123.pid
c:\temp\1427158605.exe
c:\temp\gardasil.bmp
c:\temp\autoextra.bmp
C:\WINDOWS\system32\drivers\gjqyy^xs.sys

folders to delete:
C:\Programmi\Comodo\CBOClean\bak
C:\Programmi\File comuni\Real\Update_OB\bak
C:\Programmi\Google\GoogleToolbarNotifier\bak
C:\WINDOWS\system32\bak
C:\Programmi\MSN Messenger\bak
C:\Programmi\Nero\Nero8\Nero BackItUp\bak
C:\Programmi\QuickTime\bak

Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato

Esegui CCleaner e ripulisci sia i file temporanei e cookie (2 volte) che il registro.

Riposta systemscan (stavolta completo)


analizza questi due files su Virustotal
C:\yuplapp.dll2
C:\ywcupl.dll2
(trovo Yahoo! Messenger Webcam 8.1 ... Yahoo's Webcam Upload ActiveX Control used by Yahoo!) Non mi trovo come dimensione.. e cmq non di sicuro come dll2.
per precauzione, spostali comunque in una nuova cartella creata in c:\

[Deifobe]

ho aggiornato il post, akash.

Ciao

[akash70]

Ecco qua l'ultima scansione con avenger

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Service s\wdqrkbxq

*******************

Script file located at: \??\C:\kahmlisn.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File c:\temp\abc123.pid deleted successfully.
File c:\temp\1427158605.exe deleted successfully.
File c:\temp\gardasil.bmp deleted successfully.
File c:\temp\autoextra.bmp deleted successfully.
File C:\WINDOWS\system32\drivers\gjqyy^xs.sys deleted successfully.
Folder C:\Programmi\Comodo\CBOClean\bak deleted successfully.
Folder C:\Programmi\File comuni\Real\Update_OB\bak deleted successfully.
Folder C:\Programmi\Google\GoogleToolbarNotifier\bak deleted successfully.
Folder C:\WINDOWS\system32\bak deleted successfully.
Folder C:\Programmi\MSN Messenger\bak deleted successfully.
Folder C:\Programmi\Nero\Nero8\Nero BackItUp\bak deleted successfully.
Folder C:\Programmi\QuickTime\bak deleted successfully.

Completed script processing.

*******************

Finished! Terminquella con system scan la invio in un altro post,credo che qui non ci sta.

[akash70]

SystemScan - www.suspectfile.com - ver. 3.5.0 (code: holifay & bReAkdOWn)

Running on: Windows XP PROFESSIONAL Edition, Service Pack 2 (2600.5.1)
System directory: C:\WINDOWS
SystemScan file: C:\Documents and Settings\Utente\Desktop\sys21197.exe
Running in: User mode
Date: 29/03/2008
Time: 12.12.01

Output limited to:
-Recent files
-Duplicates in BAK folders
-Hidden objects

===================== Recent files (60 days old) =====================

----- recent files in C:\
18/02/2008 01.30.38 89600 byte 40 days old -- yuplapp.dll2
18/02/2008 01.30.38 82432 byte 40 days old -- ywcupl.dll2
26/02/2008 20.05.59 1871 byte 32 days old -- rapport.txt
15/03/2008 16.32.03 (DIR) 0 byte 14 days old -- Programmi
15/03/2008 16.55.10 74 byte 14 days old -- CMLoader.log
15/03/2008 23.42.14 (DIR) 0 byte 14 days old -- Documents and Settings
20/03/2008 19.43.18 97004 byte 9 days old -- YServer.txt
29/03/2008 01.43.20 (DIR) 0 byte 0 days old -- Dizionario
29/03/2008 12.06.28 (DIR)804495360 byte 0 days old -- pagefile.sys
29/03/2008 12.06.41 (DIR) 0 byte 0 days old -- avenger
29/03/2008 12.06.51 2388 byte 0 days old -- avenger.txt
29/03/2008 12.09.13 (DIR) 0 byte 0 days old -- WINDOWS
29/03/2008 12.10.50 (DIR) 0 byte 0 days old -- temp
29/03/2008 12.12.00 (DIR) 0 byte 0 days old -- suspectfile

----- recent files in C:\WINDOWS\
04/02/2008 17.17.28 (DIR) 0 byte 54 days old -- Cursors
16/02/2008 13.01.13 1409 byte 42 days old -- QTFont.for
17/02/2008 23.36.24 3238 byte 41 days old -- YAHELITE.INI
17/02/2008 23.36.24 9556 byte 41 days old -- YAHELITE_IGNORE.INI
12/03/2008 03.25.21 321 byte 17 days old -- cdplayer.ini
15/03/2008 16.33.27 (DIR) 0 byte 14 days old -- WinSxS
15/03/2008 16.33.28 (DIR) 0 byte 14 days old -- Installer
15/03/2008 16.55.39 (DIR) 0 byte 14 days old -- inf
20/03/2008 17.34.06 54156 byte 9 days old -- QTFont.qfn
24/03/2008 11.03.16 (DIR) 0 byte 5 days old -- Prefetch
24/03/2008 11.34.44 (DIR) 0 byte 5 days old -- Minidump
29/03/2008 03.48.34 790 byte 0 days old -- win.ini
29/03/2008 03.57.56 116 byte 0 days old -- NeroDigital.ini
29/03/2008 12.05.40 32476 byte 0 days old -- SchedLgU.Txt
29/03/2008 12.06.06 (DIR) 0 byte 0 days old -- system32
29/03/2008 12.06.31 2048 byte 0 days old -- bootstat.dat
29/03/2008 12.06.50 159 byte 0 days old -- wiadebug.log
29/03/2008 12.06.50 50 byte 0 days old -- wiaservc.log
29/03/2008 12.06.51 1922909 byte 0 days old -- WindowsUpdate.log
29/03/2008 12.09.12 (DIR) 0 byte 0 days old -- Temp

----- recent files in C:\WINDOWS\Downloaded Program Files\

----- recent files in C:\WINDOWS\system\

----- recent files in C:\WINDOWS\system32\
04/02/2008 17.21.07 188 byte 54 days old -- MsiExec.exe.log
26/02/2008 18.43.19 (DIR) 0 byte 32 days old -- dllcache
26/02/2008 20.02.51 842 byte 32 days old -- tmp.reg
26/02/2008 20.02.51 0 byte 32 days old -- tmp.txt
26/02/2008 21.35.54 2934 byte 32 days old -- CONFIG.NT
15/03/2008 16.33.15 (DIR) 0 byte 14 days old -- Samsung PC Studio Codecs
15/03/2008 16.33.43 (DIR) 0 byte 14 days old -- Samsung_USB_Drivers
15/03/2008 16.56.48 436360 byte 14 days old -- perfh009.dat
15/03/2008 16.56.48 1086448 byte 14 days old -- PerfStringBackup.INI
15/03/2008 16.56.48 70124 byte 14 days old -- perfc009.dat
15/03/2008 16.56.49 483342 byte 14 days old -- perfh010.dat
15/03/2008 16.56.49 81990 byte 14 days old -- perfc010.dat
22/03/2008 10.34.06 2228 byte 7 days old -- wpa.dbl
24/03/2008 15.49.50 107888 byte 5 days old -- CmdLineExt.dll
28/03/2008 15.47.15 (DIR) 0 byte 1 days old -- CatRoot2
29/03/2008 12.00.40 (DIR) 0 byte 0 days old -- Adobe
29/03/2008 12.06.42 (DIR) 0 byte 0 days old -- drivers

----- recent files in C:\WINDOWS\system32\drivers\

----- recent files in C:\WINDOWS\temp\
27/03/2008 18.55.04 16384 byte 2 days old -- Perflib_Perfdata_48c.dat
29/03/2008 12.08.48 (DIR) 0 byte 0 days old -- _avast4_

----- recent files in C:\Programmi\
04/02/2008 17.01.49 (DIR) 0 byte 54 days old -- Ahead
04/02/2008 17.17.34 (DIR) 0 byte 54 days old -- Nero
06/02/2008 18.19.27 (DIR) 0 byte 52 days old -- YahooFriend
10/02/2008 03.48.20 (DIR) 0 byte 48 days old -- Free Internet Window Washer
11/02/2008 12.22.01 (DIR) 0 byte 47 days old -- Comodo
17/02/2008 23.12.58 (DIR) 0 byte 41 days old -- YahELite
17/02/2008 23.39.48 (DIR) 0 byte 41 days old -- ZakFromAnotherPlanet
26/02/2008 20.28.01 (DIR) 0 byte 32 days old -- Spybot - Search & Destroy
26/02/2008 23.53.04 (DIR) 0 byte 32 days old -- Yahoo!
07/03/2008 11.01.46 (DIR) 0 byte 22 days old -- WinBudget
15/03/2008 16.32.03 (DIR) 0 byte 14 days old -- Samsung
15/03/2008 16.32.58 (DIR) 0 byte 14 days old -- InstallShield Installation Information
24/03/2008 15.42.27 (DIR) 0 byte 5 days old -- EA GAMES
29/03/2008 02.48.12 (DIR) 0 byte 0 days old -- eMule
29/03/2008 12.06.06 (DIR) 0 byte 0 days old -- MSN Messenger
29/03/2008 12.06.07 (DIR) 0 byte 0 days old -- QuickTime
29/03/2008 12.06.56 (DIR) 0 byte 0 days old -- StopDialers

----- recent files in C:\Programmi\File comuni\
04/02/2008 17.19.39 (DIR) 0 byte 54 days old -- Nero

----- recent files in C:\Documents and Settings\Utente\Dati applicazioni\
04/02/2008 17.21.34 (DIR) 0 byte 54 days old -- Nero
11/02/2008 12.28.26 (DIR) 0 byte 47 days old -- Grisoft
26/02/2008 23.52.52 (DIR) 0 byte 32 days old -- yahoo!
09/03/2008 23.04.17 (DIR) 0 byte 20 days old -- Microsoft
15/03/2008 16.56.28 (DIR) 0 byte 14 days old -- Samsung

----- recent files in c:\temp\
29/03/2008 12.06.46 16384 byte 0 days old -- ~DFE444.tmp
29/03/2008 12.09.44 16384 byte 0 days old -- ~DF8952.tmp
29/03/2008 12.09.44 (DIR) 0 byte 0 days old -- nsi5.tmp
29/03/2008 12.09.44 53 byte 0 days old -- systemscan.ini

===================== Duplicated files in BAK folders =====================

BAK folders found:

C:\Programmi\Yahoo!\Messenger\bak

26/02/2008 23.24.19 - 0 - Cache
26/02/2008 23.11.03 - 0 - Games
26/02/2008 23.08.11 - 0 - Profiles

Duplicates found:


Scanned 106116 files, in 6711 folders.

===================== Hidden Objects =====================


scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher]
"TracesProcessed"=dword:0000000d
"TracesSuccessful"=dword:0000000b

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


===================== Checking Rustock rootkit =====================



==========================================
Scan completed in 27,7 minutes
End of report


~~~~~~~~~~~~~~~~~~~~~-----CREDITS-----~~~~~~~~~~~~~~~~~~~~~
SystemScan uses some freeware tools that remain property of their authors:

* SteelWerX Registry Console Tool, Who Am I (Bobby Flekman: www.xs4all.nl/~fstaal01) --> "Registry scan", "PC accounts "
* dumphive (Markus Stephany)--> "Registry scan"
* Listdlls (M.Russinovich, B.Cogswell: www.sysinternals.com) --> "Loaded modules"
* Catchme & MBR Rootkit detector (gmer: www.gmer.net) --> "Hidden objects", "Alternate Data Streams" & "Master Boot Record"
---> NOTE: SystemScan integrates "The Avenger" from Swandog46 (http://swandog46.geekstogo.com) to allow you to remove malwares found in this log

Thanks to all of them for their hard work

Ho provato a analizzare i due files che hai suggerito nel tuo post con virus total,ma dopo 40 minuti non aveva dato ancora nessun risultato.
Grazie e ciao.

[Deifobe]

una domanda più semplice: hai installato Yahoo! Messenger Webcam 8.1 / Yahoo's Webcam Upload ActiveX Control by Yahoo! ??

Se no, puoi eliminare quei files (dalla cartella dove li avevi spostati..)
Ci sono ancora problemi al pc?

[akash70]

Si,ho il messenger di Yahoo installato.

Sembra che il problema sia stato risolto.
Ti segnalo 2 cose:
-io avevo installato stop dialer per bloccare subito il tentativo di connessione a internet connection e immancabilmente quando avviavo il pc (stop dialer parte all'avvio)compariva la finestra con:"registro alterato etc etc".
Da quando ho seguito i tuoi suggerimenti questa finestra non compare più.

-da 2 giorni circa internet connection non compare più.

Se dovesse ricomparire mi rifarò vivo.
Grazie comunque di tutto.
Ciao,
Antonio.

[Deifobe]

facciamo così, quei due files continua a tenerli da parte perchè come dll2 non esistono.
... ti ho parlato di una webcam.. non so se è la stessa cosa che hai installato tu ma credo di no. MAGARI un controllo potresti farlo..

scarica Registry Search Tool e cerca separatamente sia yuplapp che ywcupl e posta i risultati. Magari dal registro riusciamo a capire qualcosa in più.

[akash70]

REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "yuplapp" 01/04/2008 20.54.47

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_USERS\S-1-5-21-1715567821-583907252-839522115-1003\Software\Microsoft\Search Assistant\ACMru\5603]
"000"="yuplapp.dll2"

Lo devo cancellare?

[Deifobe]

No, non dice nulla.
Uhmm ma nelle proprietà dei due files cosa trovi? (x vederere le proprietà, clicca si files con il tasto destro e seleziona "proprietà")

[joselitog]

x deifobe

ciao ho di nuovo problemi con internet connection
saresti così gentile da aiutarmi ancora una volta?
ma non esiste un modo per evitare di infettarsi na volta eliminato il problema?
ho aperto una nuova discussione
grazie mille
j